vpn - cisco...vpn...

12-1Cisco Configuration Professional 1.0 ルーティングおよびセキュリティユーザーズガイド

OL-18185-01-J

C H A P T E R 12サイト間 VPN

この章の各トピックでは、サイト間 VPN 設定画面および VPN 設計ガイド画面に

ついて説明します。

VPN 設計ガイドVPN ネットワークを設定する管理者は、VPN 設計ガイドを使用して、設定する

VPN のタイプを決定することができます。ユーザのタイプ、ルータが VPN 接続

を確立する機器の種類、VPN が転送するトラフィックのタイプ、および設定す

べきその他の機能について情報を入力します。これらの情報を入力すると、VPN

設計ガイドが推奨 VPN タイプを示し、ウィザードを開始して、このタイプの

VPN を設定することができます。

第 12 章サイト間 VPNサイト間 VPN の作成


OL-18185-01-J

サイト間 VPN の作成仮想プライベートネットワーク（VPN）を使用すると、組織によって所有また

は制御されていない可能性のある回線上で転送されるトラフィックを保護でき

ます。VPN では、このような回線で送信されるトラフィックを暗号化したり、ト

ラフィック送信の前にピアを認証したりできます。

Cisco Configuration Professional（Cisco CP）で VPN アイコンをクリックすると、

指示に従って簡単な VPN 設定を行うことができます。［サイト間 VPN の作成］

タブのウィザードを使用する場合は、簡単に設定できるように、Cisco CP によっ

て一部の設定パラメータのデフォルト値が用意されます。

VPN 技術の詳細については、「VPN に関する詳細情報」を参照してください。

サイト間 VPN の作成

このオプションでは、2 つのルータを接続する VPN ネットワークを作成できま

す。

安全な GRE トンネル（GRE over IPSec）を作成する

このオプションでは、ルータとピアシステム間にジェネリックルーティングカ

プセル化プロトコル（GRE）トンネルを設定できます。

実行する操作

目的手順

2 つのルータを接続する VPN ネットワークの

一部としてルータを設定する。

2 つのルータ間の VPN ネットワークを設定す

る場合は、リモートルータの認証方法、トラ

フィックの暗号化方法、暗号化の対象となる

トラフィックを制御できる。

［サイト間 VPN の作成］を選択する。次に、［選択し

たタスクを実行する］をクリックする。


OL-18185-01-J


ルータと別のルータ間に GRE トンネルを設

定する。

異なる LAN プロトコルを使用するネット

ワーク同士を接続する必要がある場合、また

はリモートシステムへの接続を介してルー

ティングプロトコルを送信する必要がある

場合は、GRE トンネルを設定できる。

［安全な GRE トンネル（GRE over IPSec）を作成する］

を選択する。次に、［選択したタスクを実行する］を

クリックする。

このウィザードでは説明されていない他の

VPN 関連タスクを実行する方法を調べる。

次のリストからトピックを選択する。

• ルータに送信中の IOS コマンドを表示する方法

• 複数のサイトに対して VPN を作成する方法

• VPN の設定後にピアルータ上で VPN を設定する

方法

• 既存の VPN トンネルを編集する方法

• VPN の動作を確認する方法

• VPN に対してバックアップピアを設定する方法

• VPN サポートレベルが異なる複数のデバイスを

調整する方法

• サポートされていないインターフェイスで VPNを設定する方法

• ファイアウォールの設定後に VPN を設定する方

法

• VPN に対して NAT パススルーを設定する方法

• DMVPN を手動で設定する方法

目的手順



OL-18185-01-J

Easy VPN コンセントレータを設定する。

Easy VPN サーバおよびコンセントレータの

設定については、www.cisco.com を参照。

次のリンク先には、Cisco VPN 3000 シリーズのコンセ

ントレータを Easy VPN リモートフェーズ II クライア

ントとともに動作するように設定する場合のガイド

ライン、およびその他の役立つ情報が提供されていま

す。

http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/

products_feature_guide09186a00800a8565.html

次のリンクでは、Cisco VPN 3000 シリーズのドキュメ

ントにアクセスできます。

http://www.cisco.com/en/US/products/hw/vpndevc/ps2284

/products_getting_started_guide_book09186a00800bbe74.

html

目的手順

http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/products_feature_guide09186a00800a8565.html

http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/products_getting_started_guide_book09186a00800bbe74.html


OL-18185-01-J


サイト間 VPN ウィザード

ほとんどの設定値については、Cisco CP のデフォルト設定を使用できます。また

は、Cisco CP の指示に従って VPN を設定することもできます。

実行する操作

目的手順

Cisco CP のデフォルトを使用して

サイト間 VPN をすばやく設定す

る。

［クイックセットアップ］を選択して、［次へ］をクリックする。

認証を管理するデフォルト IKE ポリシー、データの暗号化を制

御するデフォルトトランスフォームセット、ルータとリモート

デバイス間のすべてのトラフィックを暗号化するデフォルト

IPSec ルールが Cisco CP によって自動的に提供される。

クイックセットアップは、ローカルルータとリモートシステム

の両方が Cisco CP を使用する Cisco ルータである場合に適。

IOS イメージで 3DES 暗号化がサポートされている場合は、3DES

がクイックセットアップで設定される。それ以外の場合は、DES

暗号化が設定される。AES または SEAL 暗号化の設定が必要な

場合は、［ステップバイステップウィザード］をクリックする。

ワンステップの VPN 設定で使用さ

れるデフォルトの IKE ポリシー、ト

ランスフォームセット、および

IPSec ルールを表示する。

［デフォルトの表示］をクリックする。

指定したパラメータを使用してサ

イト間 VPN を設定する。

［ステップバイステップウィザード］を選択し、［次へ］をク

リックする。

VPN のカスタム設定を作成し、必要な Cisco CP デフォルトを使

用することができる。

ステップバイステップウィザードでは、クイックセットアップ

ウィザードで設定されるよりも強力な暗号化を指定できる。



OL-18185-01-J

デフォルトの表示

このウィンドウでは、Cisco CP がクイックセットアップのサイト間 VPN の設定

に使用するデフォルトのインターネットキー交換（IKE）ポリシー、トランス

フォームセット、および IPSec ルールが表示されます。このウィンドウの表示内

容と異なる設定が必要な場合は、設定値を定義できる［ステップバイステップ

ウィザード］を選択します。

VPN 接続情報

このウィンドウを使用して、設定している VPN トンネルを終端するリモートサ

イトの IP アドレスまたはホスト名の識別、使用するルータインターフェイスの

指定、および両方のルータがお互いの認証に使用する事前共有キーの入力を実行

することができます。

この VPN 接続に対するインターフェイスの選択

このルータで、リモートサイトに接続するインターフェイスを選択します。設

定中のルータは、ユースケースシナリオ図でローカルルータとして表示されて

います。

ピア ID

設定中の VPN トンネルを終端するリモート IP セキュリティ（IPSec）ピアの IP

アドレスを入力します。リモート IPSec ピアは、別のルータ、VPN コンセント

レータ、IPSec をサポートしているその他のゲートウェイデバイスなどです。

ダイナミック IP アドレスを持つピア

ルータの接続先のピアが、ダイナミックに割り当てられた IP アドレスを使用し

ている場合は、このオプションを選択します。

スタティック IP アドレスを持つピア

ルータの接続先のピアが、固定した IP アドレスを使用している場合はこのオプ

ションを選択します。


OL-18185-01-J


リモートピアの IP アドレスを入力

［スタティック IP アドレスを持つピア］を選択した場合に有効です。リモートピ

アの IP アドレスを入力します。

認証

VPN ピアが事前共有キーを使用して相手からの接続を認証する場合は、このボ

タンをクリックします。このキーは、VPN 接続の両側で同じでなければなりま

せん。

事前共有キーを入力し、確認のためにキーを再入力します。暗号化された電子

メールメッセージなどの安全で便利な手段を使用して、リモートサイトの管理

者と事前共有キーを交換します。事前共有キーでは、疑問符（?）およびスペー

スを使用できません。事前共有キーの大長は 128 文字です。

（注） • 事前共有キーとして入力した文字は、フィールドには表示されません。キー

を入力する前に、リモートシステムの管理者に伝えることができるように

メモしておくと便利です。

• 事前共有キーは、安全なトンネルを確立する必要がある IPSec ピアの各ペア

間で交換する必要があります。この認証方法は、限られた数の IPSec ピアと

の安定したネットワークに適しています。IPSec ピアが多いネットワーク、

またはピアの数が増えたネットワークでは、スケーラビリティの問題が生じ

ることがあります。

デジタル証明書

VPN ピアが認証にデジタル証明書を使用する場合は、このボタンをクリックし

ます。

（注）ルータは、自身を認証するために、認証機関（CA）によって発行されたデジタ

ル証明書を保持していなければなりません。ルータに対してデジタル証明書を

設定していない場合は、VPN コンポーネントに移動してデジタル証明書ウィ

ザードを使用し、デジタル証明書を登録します。



OL-18185-01-J

暗号化するトラフィック

クイックセットアップでサイト間 VPN 接続を設定している場合は、このウィン

ドウで送信元と宛先のサブネットを指定する必要があります。

送信元

この VPN 接続のトラフィックの送信元になるルータ上のインターフェイスを選

択します。このインターフェイスを通過するトラフィックのうち、宛先 IP アド

レスが［宛先］エリアで指定したサブネットにあるものは、すべて暗号化されま

す。

詳細

このボタンをクリックすると、選択したインターフェイスの詳細を取得できま

す。詳細ウィンドウには、インターフェイスに関連付けられているすべてのアク

セスルール、IPSec ポリシー、ネットワークアドレス変換（NAT）ルール、ま

たはインスペクションルールが表示されます。これらのルールの詳細について

は、［追加タスク］、［ACL エディタ］の順にクリックして、ルールのウィンドウ

を参照してください。

宛先

［IP アドレス］と［サブネットマスク］。このトラフィックの宛先の IP アドレス

とサブネットマスクを入力します。これらのフィールドに値を入力する方法の

詳細については、「IP アドレスとサブネットマスク」を参照してください。

宛先は、メインの VPN ウィザードウィンドウのユースケースシナリオ図にリ

モートルータとして表示されます。

IKE プロポーザル

このウィンドウには、ルータに設定されているすべてのインターネットキー交

換（IKE）ポリシーのリストが表示されます。ユーザ定義のポリシーが設定され

ていない場合、ウィンドウには Cisco CP のデフォルト IKE ポリシーが表示され

ます。IKE ポリシーは、VPN 上のデバイスが自身を認証する方法を管理します。


OL-18185-01-J


ローカルルータは、このウィンドウに表示される IKE ポリシーを使用して、リ

モートルータとの認証をネゴシエートします。

ローカルルータとピアデバイスは、どちらも同じポリシーを使用していなけれ

ばなりません。VPN 接続を開始するルータは、優先順位が下位のポリシーを

初に提示します。リモートシステムがそのポリシーを拒否した場合、ローカ

ルルータは、次に優先順位が低いポリシーを提示し、リモートシステムの許可

が得られるまで提示を続けます。両方のルータに同じポリシーを設定できるよう

に、ピアシステムの管理者と事前に綿密な調整をしておく必要があります。

Easy VPN 接続の場合、IKE ポリシーは Easy VPN サーバでのみ設定されます。

Easy VPN クライアントがプロポーザルを送信し、設定済みの IKE ポリシーに

従ってサーバが応答します。

優先順位

ネゴシエーション中にポリシーが提示される順序です。

暗号化

Cisco CP は、さまざまなタイプの暗号化をサポートしています。これらは安全性

が高い順にリスト表示されています。暗号化タイプが安全であるほど、処理時間

が長くなります。

（注） • すべてのルータがすべての暗号化タイプをサポートしているわけではあり

ません。サポートされていないタイプは、画面に表示されません。

• Cisco CP がサポートしている暗号化タイプには、IOS イメージでサポートし

ていないものもあります。IOS イメージでサポートされていないタイプは、

画面に表示されません。

• ハードウェア暗号化が有効になっている場合は、ハードウェア暗号化でサ

ポートされている暗号化タイプだけが画面に表示されます。



OL-18185-01-J

Cisco CP では、次のタイプの暗号化がサポートされています。

• DES ― データ暗号化標準。この暗号化形式は、56 ビットの暗号化をサポー

トします。

• 3DES ― トリプル DES。これは、DES よりも強力な暗号化形式で、168 ビッ

トの暗号化をサポートします。

• AES-128 ― 128 ビットのキーを使用する Advanced Encryption Standard（AES）暗号化。AES は、DES よりも強力なセキュリティを提供し、3DES よりも計

算効率が高くなります。

• AES-192 ― 192 ビットのキーを使用する AES 暗号化。

• AES-256 ― 256 ビットのキーを使用する AES 暗号化。

ハッシュ

ネゴシエーションに使用される認証アルゴリズムです。Cisco CP では、次のアル

ゴリズムがサポートされています。

• SHA_1 ― Secure Hash Algorithm。パケットデータの認証に使用されるハッ

シュアルゴリズム。

• MD5 ― Message Digest 5。パケットデータの認証に使用されるハッシュアル

ゴリズム。

D-H グループ

Diffie-Hellman グループ ― Diffie-Hellman は、2 つのルータ間で、安全でない通信

チャネルを使用して秘密情報を共有できるようにするパブリックキー暗号プロ

トコルです。Cisco CP では、次のグループがサポートされています。

• グループ 1 ― D-H グループ 1。768 ビットの D-H グループ。

• グループ 2 ― D-H グループ 2。1,024 ビットの D-H グループ。このグループ

は、グループ 1 よりも強力なセキュリティを提供しますが、処理時間が長く

なります。

• グループ 5 ― D-H グループ 5。1,536 ビットの D-H グループ。このグループ

は、グループ 2 よりも強力なセキュリティを提供しますが、処理時間が長く

なります。


OL-18185-01-J


認証

使用される認証方式です。次の値がサポートされています。

• PRE_SHARE ― 認証は事前共有キーを使用して実行されます。

• RSA_SIG ― 認証はデジタル証明書を使用して実行されます。

（注） VPN 接続に使用するインターフェイスを指定したときに指定した認証タイプを

選択する必要があります。

タイプ

［Cisco CP デフォルト］または［ユーザ定義］のいずれかになります。ルータで

ユーザ定義のポリシーが作成されていない場合、このウィンドウにはデフォルト

IKE ポリシーが表示されます。

IKE ポリシーを追加または編集するには

このリストに含まれていない IKE ポリシーを追加する場合は、［追加］をクリッ

クし、表示されるウィンドウでポリシーを作成します。既存のポリシーを編集す

る場合は、ポリシーを選択し、［編集］をクリックします。Cisco CP デフォルト

ポリシーは読み取り専用で編集できません。

ポリシーリストをそのまま使用するには

IKE ポリシーリストをそのまま使用して作業を続けるには、［次へ］をクリック

します。

トランスフォームセット

このウィンドウには、このルータに設定されている Cisco CP のデフォルトトラ

ンスフォームセットとその他のトランスフォームセットのリストが表示されま

す。これらのトランスフォームセットは、VPN または DMVPN で使用できるよ

うになります。トランスフォームセットは、セキュリティプロトコルとアルゴ

リズムの特定の組み合わせです。IPSec セキュリティアソシエーションのネゴシ



OL-18185-01-J

エート時に、ピアは特定のデータフローを保護するために使用するトランス

フォームセットについて合意します。トランスフォームには、特定のセキュリ

ティプロトコルが、対応するアルゴリズムとともに記述されています。

このウィンドウで選択できるトランスフォームセットは 1 つだけですが、［VPN

の編集］タブまたは［DMVPN の編集］タブを使用して、VPN または DMVPN 接

続に追加のトランスフォームセットを割り当てることができます。

トランスフォームセットの選択

このリストから使用するトランスフォームセットを選択します。

選択したトランスフォームセットの詳細

このエリアには、選択したトランスフォームセットに関する次の詳細情報が表

示されます。すべての暗号化、認証、および圧縮のタイプを設定する必要はない

ので、場合によっては値が含まれていないカラムがあります。

各カラムに含めることができる値については、「トランスフォームセットの追加

/ 編集」を参照してください。

名前

このトランスフォームセットに付けられている名前です。

ESP 暗号化

使用されている ESP（Encapsulating Security Protocol）暗号化のタイプです。トラ

ンスフォームセットに対して ESP 暗号化が設定されていない場合、このカラム

は空です。

ESP 認証

使用される ESP 認証のタイプです。トランスフォームセットに対して ESP 認証

が設定されていない場合、このカラムは空です。


OL-18185-01-J


AH 認証

使用される認証ヘッダー（AH）認証のタイプです。トランスフォームセットに

対して AH 認証が設定されていない場合、このカラムは空です。

IP 圧縮

トランスフォームセットに対して IP 圧縮が設定されていない場合、このフィー

ルドには値 COMP-LZS が含まれます。

（注） IP 圧縮をサポートしていないルータもあります。

モード

このカラムには、次のいずれかが含まれます。

• ［トランスポート］― データのみ暗号化します。トランスポートモードは、

両方のエンドポイントが IPsec をサポートしている場合に使用されます。ト

ランスポートモードは、オリジナルの IP ヘッダーの後に認証ヘッダーまた

は ESP（encapsulated security payload）を配置します。したがって、IP ペイ

ロードだけが暗号化されます。この方法を使用すると、ユーザは QualityOf-Service（QoS）コントロールなどのネットワークサービスを暗号化した

パケットに適用できます。

• ［トンネル］― データと IP ヘッダーを暗号化します。トンネルモードでは、

トランスポートモードより強力に防御できます。IP パケット全体を AH または ESP 内にカプセル化して新しい IP ヘッダーを加えることによって、

データグラム全体をカプセル化できるからです。トンネルモードでは、ルー

タなどのネットワークデバイスを複数の VPN ユーザの IPsec プロキシとし

て機能させることができます。

タイプ

［ユーザ定義］または［Cisco CP デフォルト］のいずれかになります。



OL-18185-01-J

実行する操作

保護するトラフィック

このウィンドウでは、この VPN が保護するトラフィックを定義します。VPN は、

指定したサブネット間のトラフィック、または選択した IPSec ルールで指定され

たトラフィックを保護できます。

以下のサブネット間のすべてのトラフィックを保護する

このオプションを使用して、アウトバウンドトラフィックを暗号化する送信元

サブネット（LAN 上のサブネット）を 1 つと、［VPN 接続］ウィンドウで指定し

たピアでサポートされている宛先サブネットを 1 つ指定します。

他の送信元と宛先ペア間のすべてのトラフィックは暗号化されずに送信されま

す。

目的手順

使用する VPN のトランスフォーム

セットを選択する。

トランスフォームセットを選択し、［次へ］をクリックする。

ルータの設定にトランスフォーム

セットを追加する。

［追加］をクリックし、［トランスフォームセットの追加］ウィ

ンドウでトランスフォームセットを作成する。次に［次へ］

をクリックして、VPN 設定を続ける。

既存のトランスフォームセットを編

集する。

トランスフォームセットを選択し、［編集］をクリックする。

次に、［トランスフォームセットの編集］ウィンドウでトラ

ンスフォームセットを編集する。トランスフォームセットを

編集したら、［次へ］をクリックして、VPN 設定を続ける。た

だし、Cisco CP デフォルトトランスフォームセットは読み取

り専用で編集できない。

追加のトランスフォームセットをこ

の VPN に関連付ける。

このウィンドウでトランスフォームセットを 1 つ選択し、

VPN ウィザードを終了する。次に、［編集］タブで他のトラ

ンスフォームセットを VPN に関連付ける。


OL-18185-01-J


送信元

アウトバウンドトラフィックを保護するサブネットのアドレスを入力し、サブ

ネットマスクを指定します。詳細については、「使用可能なインターフェイス設

定」を参照してください。

この送信元サブネットから発信されるトラフィックで、宛先サブネットの宛先 IP

アドレスを持つトラフィックはすべて保護されます。

宛先

宛先サブネットのアドレスを入力し、そのサブネットのマスクを指定します。リ

ストからサブネットマスクを選択するか、カスタムマスクを入力できます。前

の例のように、サブネット番号およびマスクは、ドット（.）で区切った 10 進表

記で指定する必要があります。

このサブネット上のホストに送られるすべてのトラフィックは保護されます。

IPSec トラフィックのアクセスリストを作成 / 選択する

複数の送信元および宛先を指定する必要がある場合や、特定のタイプのトラ

フィックを暗号化する場合は、このオプションを使用します。IPSec ルールは、

複数のエントリで設定され、各エントリにはそれぞれ異なるトラフィックタイ

プや送信元および宛先を指定できます。

フィールドの横のボタンをクリックし、暗号化するトラフィックを定義している

既存の IPSec ルールを指定するか、この VPN で使用する IPSec ルールを作成し

ます。IPSec ルールの番号がわかっている場合は、右のボックスに入力します。

ルールの番号がわからない場合は、［...］ボタンをクリックして、ルールを参照

します。ルールを選択すると、番号がボックスに表示されます。

（注）トラフィックタイプ、および送信元と宛先の両方を指定できるので、IPSec ルー

ルは拡張ルールです。標準ルールの番号または名前を入力した場合、名前また

は番号が標準ルールであることを通知する警告メッセージが表示されます。

IPSec ルールの条件と一致しないパケットはすべて暗号化されずに送信されま

す。



OL-18185-01-J

設定の要約

このウィンドウには、作成した VPN または DMVPN 設定が表示されます。この

ウィンドウで設定を確認し、必要な場合は、［戻る］ボタンをクリックして変更

できます。

スポーク設定

DMVPN ハブを設定している場合は、自分や他の管理者が DMVPN スポークを設

定するときに役立つ手順を Cisco CP で生成できます。この手順は、ウィザード

で選択するオプションとスポーク設定ウィンドウで入力する情報について説明

するものです。この情報を自分や他の管理者が使用できるテキストファイルに

保存できます。

設定後の接続テスト

設定が終わった VPN 接続をクリックしてテストします。テストの結果は、別の

ウィンドウに表示されます。

この設定をルータの実行コンフィギュレーションに保存してウィザードを終了するには

［完了］をクリックします。設定の変更がルータの実行コンフィギュレーション

に保存されます。変更はすぐに有効になりますが、ルータの電源を切ると失われ

ます。

Cisco CP の［設定］ウィンドウで［コマンドをルータに配信する前にプレビュー

する］チェックボックスを選択した場合は、［配信］ウィンドウが表示されます。

このウィンドウで、ルータに配信する CLI コマンドを確認できます。

スポーク設定

このウィンドウに表示されている情報を使用して、設定済みの DMVPN ハブと互

換性のある設定をスポークルータに設定できます。このウィンドウには、作業

が必要なウィンドウのリストが表示され、そのウィンドウ内で入力しなければな

らないデータが示されます。スポークは、これらのデータを使用してハブと通信

します。


OL-18185-01-J


スポーク設定に入力しなければならないデータとして、次のデータが表示されま

す。

• ハブのパブリック IP アドレス。これは、mGRE トンネルをサポートするハ

ブインターフェイスの IP アドレスです。

• ハブの mGRE トンネルの IP アドレス。

• DMVPN のすべてのトンネルインターフェイスで使用しなければならない

サブネットマスク。

• 詳細トンネル設定情報。

• 使用するルーティングプロトコルと、自律システム番号（EIGRP の場合）や

OSPF プロセス ID など、そのプロトコルに関連付けられているすべての情

報。

• ハブが使用する IKE ポリシーのハッシュ、暗号化、DH グループ、および認

証タイプ。これらにより、互換性のある IKE ポリシーをスポークに設定でき

ます。

• ハブが使用するトランスフォームセットの ESP およびモードについての情

報。スポークに同じトランスフォームセットが設定されていない場合は、こ

の情報を使用して設定できます。

GRE トンネル（GRE over IPSec）の保護

ジェネリックルーティングカプセル化（GRE）は、Cisco が開発したトンネリン

グプロトコルです。IP トンネル内のさまざまなタイプのプロトコルパケットを

カプセル化し、IP インターネットワーク上にリモートの Cisco ルータへの仮想ポ

イントツーポイントリンクを確立できます。シングルプロトコルのバックボー

ン環境にマルチプロトコルサブネットワークを接続して、GRE を使用した IP ト

ンネリングを利用すれば、シングルプロトコルのバックボーン環境にまたがる

ネットワーク拡張が可能になります。

このウィザードでは、IPSec 暗号化を使用する GRE トンネルを作成できます。

GRE トンネル設定を作成するときは、トンネルのエンドポイントを記述する

IPSec ルールも作成します。



OL-18185-01-J

GRE トンネル情報

この画面には全般的な GRE トンネル情報が表示されます。

トンネルの送信元

トンネルが使用するインターフェイスのインターフェイス名または IP アドレス

を選択します。インターフェイスの IP アドレスは、トンネルのもう一方の端か

らこのインターフェイスに到達できる必要があります。したがって、このイン

ターフェイスには、ルート指定可能なパブリック IP アドレスが必要です。設定

済みのインターフェイスに関連付けられていない IP アドレスを入力すると、エ

ラーが表示されます。

（注）［インターフェイス］リストには、スタティック IP アドレスを持つインターフェ

イスとアンナンバードとして設定されているインターフェイスがリスト表示さ

れます。ループバックインターフェイスは、このリストには含まれません。

詳細

クリックすると、選択したインターフェイスの詳細を取得できます。詳細ウィン

ドウには、インターフェイスに関連付けられているすべてのアクセスルール、

IPSec ポリシー、NAT ルール、またはインスペクションルールが表示されます。

NAT ルールがこのインターフェイスに適用されている場合はアドレスが到達不

可能になるので、トンネルは適切に動作しません。これらのルールの詳細につい

ては、［追加タスク］、［ACL エディタ］の順にクリックして、［ルール］ウィン

ドウを検査してください。

トンネルの宛先

トンネルのもう一方の端にあるリモートルータ上のインターフェイスの IP アド

レスを入力します。これは、トンネルのもう一方の端から見た場合、送信元イン

ターフェイスになります。


OL-18185-01-J


ping コマンドを使用して、このアドレスに到達できることを確認します。ping

コマンドは、［ツール］メニューから利用できます。宛先アドレスに到達できな

い場合は、トンネルが適切に作成されていません。

GRE トンネルの IP アドレス

トンネルの IP アドレスを入力します。トンネルの両端の IP アドレスは、同じサ

ブネット上にある必要があります。トンネルには、必要な場合はプライベート

アドレスにできるように個別の IP アドレスが与えられます。

IP アドレス

トンネルの IP アドレスをドット（.）で区切った 10 進表記で入力します。詳細

については、「IP アドレスとサブネットマスク」を参照してください。

サブネットマスク

トンネルのサブネットマスクをドット（.）で区切った 10 進表記で入力します。

VPN 認証情報

VPN ピアは、相手からの接続を認証するために事前共有キーを使用します。こ

のキーは、VPN 接続の両側で同じでなければなりません。

事前共有キー

VPN ピアが認証に事前共有キーを使用する場合は、このボタンをクリックして

事前共有キーを入力し、その後、確認のためキーを再入力します。暗号化された

電子メールメッセージなどの安全で便利な手段を使用して、リモートサイトの

管理者と事前共有キーを交換します。事前共有キーでは、疑問符（?）およびス

ペースを使用できません。



OL-18185-01-J

（注） • 事前共有キー用に入力した文字は、フィールドには表示されません。キーを

入力する前に、リモートシステムの管理者に伝えることができるようにメ

モしておくと便利です。

• 事前共有キーは、安全なトンネルを確立する必要がある IPSec ピアの各ペア

間で交換する必要があります。この認証方法は、限られた数の IPSec ピアと

の安定したネットワークに適しています。IPSec ピアが多いネットワーク、

またはピアの数が増えたネットワークでは、スケーラビリティの問題が生じ

ることがあります。

デジタル証明書

VPN ピアが認証にデジタル証明書を使用する場合は、このボタンをクリックし

ます。

ルータは、自身を認証するために、認証機関（CA）によって発行されたデジタ

ル証明書を保持していなければなりません。ルータに対してデジタル証明書を設

定していない場合は、VPN コンポーネントに移動してデジタル証明書ウィザー

ドを使用し、デジタル証明書を登録します。

（注）デジタル証明書を使用して認証する場合は、IKE ネゴシエーション中にアクセス

される CA サーバに、証明書失効リスト（CRL）要求に応答するための設定がな

いと、VPN トンネルが作成されない可能性があります。この問題を修正するに

は、［デジタル証明書］ページに移動して設定されているトラストポイントを選

択し、［取り消しの確認］で［なし］を選択します。

バックアップ GRE トンネル情報

プライマリトンネルで問題が発生した場合に、ルータが使用できるバックアッ

プ GRE-over-IPSec トンネルを設定できます。このトンネルでは、プライマリト

ンネル用に設定したものと同じインターフェイスを使用しますが、バックアップ

VPN ルータをピアとして使用して設定する必要があります。プライマリ

GRE-over-IPSec トンネルのルーティングが設定されている場合は、ルーティング


OL-18185-01-J


プロトコルが送信するキープアライブパケットを使用して、トンネルがまだア

クティブかどうかを確認します。ルータがプライマリトンネルでのキープアラ

イブパケットの受信を停止した場合、トラフィックはバックアップトンネルを

経由して送信されます。

バックアップ用の安全な GRE トンネルを作成する

バックアップトンネルを作成する場合はこのボックスを選択します。

バックアップ GRE トンネルの宛先 IP アドレス

トンネルのもう一方の端にあるリモートルータ上のインターフェイスの IP アド

レスを入力します。これは、トンネルのもう一方の端から見た場合の送信元イン

ターフェイスです。

ping コマンドを使用して、このアドレスに到達できることを確認します。ping

コマンドは、［ツール］メニューから利用できます。［Ping］ダイアログボックス

で指定して確認した宛先アドレスが到達できないアドレスだった場合は、トンネ

ルが適切に作成されません。

トンネル IP アドレス

トンネルの IP アドレスを入力します。トンネルの両端の IP アドレスは、同じサ

ブネット上にある必要があります。トンネルには、必要な場合はプライベート

アドレスにできるように個別の IP アドレスが与えられます。

IP アドレス

トンネルの IP アドレスをドット（.）で区切った 10 進表記で入力します。詳細

については、「IP アドレスとサブネットマスク」を参照してください。

サブネットマスク

トンネルのサブネットマスクをドット（.）で区切った 10 進表記で入力します。



OL-18185-01-J

ルーティング情報

このウィンドウでは、トンネルトラフィックのルーティングを設定できます。こ

のウィンドウで追加する情報は、［ルーティング］ウィンドウに表示されます。

［ルーティング］ウィンドウで行った変更は、VPN トラフィックのルーティング

に適用される可能性があります。ルーティングを設定すると、GRE-over-IPSec

VPN に関与するネットワークを指定できます。さらに、バックアップの

GRE-over-IPSec トンネルを設定する場合、ルータは、ルーティングプロトコル

によって送信されるキープアライブパケットを使用して、プライマリトンネル

で障害が発生しているかどうかを判断できます。

このルータが GRE over IPSec VPN に多数のネットワークを含む大規模な VPN 展

開で使用されている場合は、ダイナミックルーティングプロトコルを選択しま

す。VPN に関与するネットワークの数が少ない場合は、スタティックルーティ

ングを選択します。

EIGRP

Enhanced Interior Gateway Routing Protocol（EIGRP）を使用してトラフィックの

ルーティングを行う場合は、このボックスを選択します。次に、［次へ］をクリッ

クし、［ルーティング情報］ウィンドウで GRE-over-IPSec VPN に関与するネット

ワークを指定します。

OSPF

Open Shortest Path First プロトコル（OSPF）を使用してトラフィックのルーティ

ングを行う場合は、このボックスを選択します。次に、［次へ］をクリックし、

［ルーティング情報］ウィンドウで GRE-over-IPSec VPN に関与するネットワーク

を指定します。

RIP

ルーティング情報プロトコル（RIP）を使用してトラフィックのルーティングを

行う場合は、このボックスを選択します。次に、［次へ］をクリックし、［ルー

ティング情報］ウィンドウで GRE-over-IPSec VPN に関与するネットワークを指

定します。


OL-18185-01-J


（注）このオプションは、バックアップ GRE-over-IPSec トンネルを設定している場合

は利用できません。

スタティックルーティング

スタティックルーティングは、少数のプライベートネットワークのみが

GRE-over-IPSec VPN に関与する、小規模な VPN 導入で使用できます。リモート

ネットワーク宛てのトラフィックが適切なトンネルを通過するように、各リモー

トネットワークにスタティックルートを設定することができます。

スタティックルーティング情報

リモートネットワーク宛てのトラフィックが適切なトンネルを通過するよう

に、各リモートネットワークにスタティックルートを設定することができます。

［スタティックルーティング情報］ウィンドウで 1 つめのスタティックルートを

設定します。さらにスタティックルートを設定する必要がある場合は、［ルー

ティング］ウィンドウで設定できます。

トンネルのスタティックルートを指定する場合は、このボックスを選択し、次

のいずれかを選択します。

• ［すべてのトラフィックをトンネルする］― すべてのトラフィックはトンネ

ルインターフェイスを経由してルーティングされ、暗号化されます。CiscoCP は、ネクストホップとしてトンネルインターフェイスを持つデフォルト

のスタティックルートエントリを作成します。

すでにデフォルトルートが存在する場合、Cisco CP は、元々あったインター

フェイスの代わりにトンネルインターフェイスをネクストホップとして使

用するようにそのルートを変更します。次に、トンネルの終端ネットワーク

への新しいスタティックエントリを作成して、元のデフォルトルートのイ

ンターフェイスをネクストホップとして指定します。



OL-18185-01-J

次の例では、トンネルのもう一方の端にあるネットワークが、宛先ネット

ワークフィールドで指定された 200.1.0.0 であるとしています。

! 元のエントリip route 0.0.0.0 0.0.0.0 FE0

! SDM によって変更されたエントリip route 0.0.0.0 0.0.0.0 Tunnel0

! SDM によって追加されたエントリip route 200.1.0.0 255.255.0.0 FE0

デフォルトルートがない場合、Cisco CP は、単にネクストホップとしてト

ンネルインターフェイスを使用するルートを作成します。次に例を示しま

す。

ip route 0.0.0.0 0.0.0.0 Tunnel0

• ［スプリットトンネリングを実施］― スプリットトンネリングを行うと、［IPアドレス］フィールドと［ネットワークマスク］フィールドで指定された

ネットワーク宛てのトラフィックが暗号化され、トンネルインターフェイ

スを経由してルーティングされます。その他のすべてのトラフィックは暗号

化されません。このオプションを選択すると、Cisco CP は、IP アドレスと

ネットワークマスクを使用してネットワークへのスタティックルートを作

成します。

次の例は、ネットワークアドレス 10.2.0.0/255.255.0.0 が宛先アドレスの

フィールドに入力されたと想定しています。

ip route 10.2.0.0 255.255.0.0 Tunnel0

スプリットトンネリングを選択すると、［IP アドレス］フィールドと［サブ

ネットマスク］フィールドが表示されます。ここに宛先ピアの IP アドレス

とサブネットマスクを入力する必要があります。［GRE トンネル情報］ウィ

ンドウの［トンネルの宛先］フィールドに入力した宛先 IP アドレスに到達

できることを確認する必要があります。到達できない場合、トンネルは確立

されません。

IP アドレス

スプリットトンネリングを行う場合に有効になります。トンネルのもう一方の

端にあるネットワークの IP アドレスを入力します。Cisco CP は、このネットワー

クの宛先アドレスを持つパケットのスタティックルートエントリを作成しま

す。このフィールドは、［すべてのトラフィックをトンネルする］が選択されて

いる場合は無効です。


OL-18185-01-J


このオプションを設定する前に、このフィールドに入力した IP アドレスに到達

できることを確認する必要があります。到達できない場合、トンネルは確立され

ません。

ネットワークマスク

スプリットトンネリングを行う場合に有効になります。トンネルのもう一方の

端にあるネットワークで使用されるネットワークマスクを入力します。この

フィールドは、［すべてのトラフィックをトンネルする］が選択されている場合

は無効です。

ルーティングプロトコルの選択

このウィンドウを使用して、このルータの背後にある他のネットワークを、他の

ルータに通知する間隔を指定します。次のいずれかを選択します。

• ［EIGRP］― Extended Interior Gateway Routing Protocol。

• ［OSPF］― Open Shortest Path First。

• ［RIP］― Routing Information Protocol。

• スタティックルーティング。このオプションは、GRE over IPSec トンネルを

設定している場合に使用できます。

（注） RIP は、DMVPN のハブアンドスポークトポロジではサポートされていません

が、DMVPN のフルメッシュトポロジでは利用できます。

設定の要約

この画面には、完了した GRE 設定の概要が表示されます。この画面で情報を確

認します。［戻る］ボタンをクリックして、変更する画面に戻ることもできます。

設定を保存する場合は、［完了］をクリックします。

GRE トンネル設定は、GRE トラフィックがどのホスト間のフローを許可される

かを指定する IPSec ルールを作成します。この IPSec ルールが要約に表示されま

す。



OL-18185-01-J

この設定をルータの実行コンフィギュレーションに保存してウィザードを終了するには

［完了］をクリックします。設定の変更がルータの実行コンフィギュレーション

に保存されます。変更はすぐに有効になりますが、ルータの電源を切ると失われ

ます。

Cisco CP の［設定］ウィンドウで［コマンドをルータに配信する前にプレビュー

する］チェックボックスを選択した場合は、［配信］ウィンドウが表示されます。

このウィンドウで、ルータに配信する CLI コマンドを確認できます。


OL-18185-01-J

第 12 章サイト間 VPNサイト間 VPN の編集

サイト間 VPN の編集仮想プライベートネットワーク（VPN）では、トラフィックを暗号化して同じ

パブリックネットワークを使用する他のユーザが読み取れないようにすること

によって、ルータとリモートシステム間のデータを保護できます。これによっ

て、他の組織も使用する可能性がある公衆回線上のプライベートネットワーク

を実質的に保護します。

このウィンドウを使用して、リモートシステムへの VPN 接続を作成および管理

します。ここでは、VPN 接続の作成、編集、削除、および既存の接続のリセッ

トができます。また、このウィンドウを使用して、ルータを 1 つ以上の Easy VPN

サーバまたはコンセントレータに接続する Easy VPN クライアントとして設定で

きます。

ウィンドウ内で、ヘルプを表示したい部分のリンクをクリックします。

サイト間 VPN 接続

トンネルと呼ばれることもある VPN 接続は、［VPN 接続］ボックスで作成およ

び管理します。VPN 接続は、IP セキュリティ（IPSec）ポリシーで定義された暗

号マップによって指定されている 1 つ以上のピアにルータインターフェイスを

リンクします。このリストで VPN 接続の表示、追加、編集、および削除を行え

ます。

ステータスカラム

接続のステータスが次のアイコンで示されます。

接続されています。

接続は切断されています。

接続を確立中です。



OL-18185-01-J

インターフェイス

この VPN 接続でリモートピアに接続されているルータインターフェイスです。

1 つのインターフェイスに関連付けられる IPSec ポリシーは 1 つだけです。この

接続で使用されている IPSec ポリシーに複数の暗号マップが定義されている場

合は、同じインターフェイスが複数の回線に表示されます。

説明

この接続についての簡単な説明です。

IPSec ポリシー

この VPN 接続で使用されている IPSec ポリシーの名前です。IPSec ポリシーで

は、データの暗号方法、暗号化対象のデータ、およびデータの送信先を指定しま

す。詳細については、「VPN 接続と IPSec ポリシーに関する詳細情報」を参照し

てください。

シーケンス番号

この接続のシーケンス番号です。IPSec ポリシーは複数の接続で使用されること

があるので、シーケンス番号と IPSec ポリシー名の組み合わせで、この VPN 接

続を一意に識別します。シーケンス番号は、VPN 接続に優先順位を付けるもの

ではありません。ルータは、シーケンス番号にかかわらず、設定済みのすべての

VPN 接続を確立しようとします。

ピア

VPN 接続のもう一方の端にあるデバイスの IP アドレスまたはホスト名です。接

続に複数のピアが含まれている場合は、それらの IP アドレスまたはホスト名が

カンマで区切られます。複数のピアは、VPN 接続の代替ルーティングパスを提

供する目的で設定されている可能性があります。

トランスフォームセット

これは、この VPN 接続で使用されているトランスフォームセットの名前です。

複数のトランスフォームセット名はカンマで区切られます。トランスフォーム

セットでは、データの暗号化、データの整合性の保証、データ圧縮の提供に使用


OL-18185-01-J


するアルゴリズムを指定します。両方のピアが、同じトランスフォームセット

を使用する必要があります。ピアはネゴシエートして使用するセットを決定しま

す。ネゴシエートしているピアが使用に同意したトランスフォームセットを

ルータで提供できるようにするために、複数のトランスフォームセットを定義

することもあります。トランスフォームセットは、IPSec ポリシーのコンポーネ

ントです。

IPSec ルール

この接続で暗号化するトラフィックを決定するルールです。IPSec ルールは、

IPSec ポリシーのコンポーネントです。

タイプ

次のタイプがあります。

• ［スタティック］― スタティックなサイト間 VPN トンネルです。VPN トン

ネルはスタティック暗号マップを使用します。

• ［ダイナミック］― ダイナミックなサイト間 VPN トンネルです。VPN トン

ネルはダイナミック暗号マップを使用します。

追加ボタン

VPN 接続を追加する場合にクリックします。

削除ボタン

選択した VPN 接続を削除する場合にクリックします。

トンネルのテスト ... ボタン

選択した VPN トンネルをテストする場合にクリックします。テストの結果は、

別のウィンドウに表示されます。



OL-18185-01-J

接続のクリアボタン

リモートピアとの間に確立している接続をリセットする場合にクリックしま

す。ダイナミックサイト間 VPN トンネルを選択している場合は、このボタンは

無効です。

ミラーの生成 ... ボタン

ローカルルータの VPN 設定を取得するテキストファイルを作成する場合にク

リックします。リモートルータは、このファイルを基に VPN を設定し、ローカ

ルルータへの VPN 接続を確立できます。ダイナミックサイト間 VPN トンネル

を選択している場合は、このボタンは無効です。

（注） ISAKMP 暗号マップを使用しない VPN 接続が以前設定されていたことを CiscoCP が検出した場合、その接続は、VPN 接続テーブルに編集不可の読み取り専用

エントリとして表示されます。

新しい接続の追加

このウィンドウを使用して、ローカルルータとピアと呼ばれるリモートシステ

ムの間に、新しい VPN 接続を追加します。VPN 接続を作成するには、IPSec ポ

リシーにインターフェイスを関連付けます。

VPN 接続を作成するには

ステップ 1 VPN に使用するインターフェイスを［インターフェイスの選択］リストから選

択します。このリストには、他の VPN 接続で使用されていないインターフェイ

スだけが表示されます。

ステップ 2 ［IPSec ポリシーの選択］リストからポリシーを選択します。［OK］をクリックし

て、［VPN 接続］ウィンドウに戻ります。


OL-18185-01-J


暗号マップの追加

このウィンドウを使用して、新しい暗号マップを既存の IPSec ポリシーに追加し

ます。このウィンドウには、［VPN 接続］ウィンドウで選択した VPN 接続に関

連付けられているインターフェイス、そのインターフェイスに関連付けられてい

る IPSec ポリシー、およびそのポリシーにすでに含まれている暗号マップが表示

されます。

暗号マップでは、シーケンス番号、接続のもう一方の端にあるピアデバイス、ト

ラフィックを暗号化するトランスフォームのセット、および暗号化対象のトラ

フィックを決定する IPSec ルールを指定します。

（注）既存の VPN 接続で使用されているインターフェイスに VPN トンネルを追加す

る方法は、既存の IPSec ポリシーに暗号マップを追加する方法だけです。

インターフェイス

この VPN 接続で使用されているインターフェイスの名前です。

IPSec ポリシー

VPN 接続を制御する IPSec ポリシーの名前です。このフィールドの下のリストに

は、IPSec ポリシーを設定する暗号マップが表示されます。詳細については、「VPN

接続と IPSec ポリシーに関する詳細情報」を参照してください。

実行する操作

目的手順

暗号マップを自分で設定する。［新しい暗号マップの追加］をクリックし、［暗号マップの追

加］ウィンドウで新しい暗号マップを作成する。作成したら、

［OK］をクリックする。次に、このウィンドウで［OK］をク

リックする。

Cisco Configuration Professional（Cisco

CP）を使ってこの接続に暗号マップを

追加する。

［追加ウィザードの使用］チェックボックスを選択し、［OK］

をクリックする。Cisco CP の指示に従って、新しい暗号マッ

プを作成すると、IPSec ポリシーにマップが関連付けられる。



OL-18185-01-J

暗号マップウィザード：ようこそ

このウィザードでは、指示に従って暗号マップを作成できます。暗号マップは、

VPN 接続のもう一方の端にあるピアデバイスの指定、トラフィックの暗号化方

法の決定、暗号化対象のトラフィックの識別を行います。

［次へ］をクリックして、暗号マップの作成を開始します。

暗号マップウィザード：設定の要約

暗号マップウィザードの要約ページに、ウィザードのウィンドウで入力した

データが表示されます。データを確認し、必要に応じて［戻る］をクリックして

前の画面で変更を行い、その後で要約ウィンドウに戻ることができます。［完了］

をクリックすると、暗号マップ設定をルータに配信できます。

接続の削除

このウィンドウでは VPN トンネルを削除できます。また、インターフェイスと

の関連付けの解除だけを行って、再使用できるように定義を保持することもでき

ます。

IPSec ポリシー <ポリシー名 > からシーケンス番号 <n> の暗号マップを削除する

このボタンをクリックして［OK］をクリックし、VPN トンネル定義を削除しま

す。このとき、インターフェイス、IPSec ポリシー、およびピアデバイス間に作

成された関連付けは失われます。複数のインターフェイスがこのトンネル定義に

関連付けられていた場合は、その関連付けも同様に削除されます。

ダイナミック暗号マップセット <セット名 > からシーケンス番号 <n> のダイナミック暗号マップを削除する

ダイナミックサイト間 VPN トンネルを選択した場合に、このボタンが表示され

ます。このボタンをクリックして［OK］をクリックし、VPN トンネル定義を削

除します。このとき、インターフェイス、IPSec ポリシー、およびピアデバイス

間に作成された関連付けは失われます。複数のインターフェイスがこのトンネル

定義に関連付けられていた場合は、その関連付けも同様に削除されます。


OL-18185-01-J


インターフェイス <インターフェイス名 > から IPSec ポリシー <ポリシー名 > の関連付けを解除し、再利用できるように IPSec ポリシーを保存する

このボタンをクリックして［OK］をクリックすると、トンネル定義を保持した

まま、そのインターフェイスとの関連付けを解除できます。必要に応じて、この

定義を別のルータインターフェイスに関連付けることができます。

Ping

このウィンドウではピアデバイスに対して ping を実行できます。ping 操作の送

信元と宛先の両方を選択します。VPN トンネルをリセットした後に、リモート

ピアに対する ping の実行が必要になる場合があります。

送信元

ping の送信元の IP アドレスを選択または入力します。使用するアドレスがリス

トにない場合は、フィールドに別のアドレスを入力できます。ping はルータの任

意のインターフェイスから発行できます。デフォルトでは、ping コマンドはリ

モートデバイスに接続する外部インターフェイスから発行されます。

宛先

ping の送信先の IP アドレスを選択します。使用するアドレスがリストにない場

合は、フィールドに別のアドレスを入力できます。

リモートピアに ping を実行するには

送信元と宛先を指定し、［Ping］をクリックします。ping コマンドの出力で、ping

が成功したかどうかを判断できます。

ping コマンドの出力をクリアするには

［クリア］をクリックします。



OL-18185-01-J

ミラーの生成 ...

このウィンドウには、選択したピアへの VPN トンネルに使用される IPSec ポリ

シーが表示されます。また、ピアデバイスで VPN 接続を設定するときに使用で

きるポリシーをテキストファイルに保存できます。

ピアデバイス

ピアデバイスの IP アドレスまたはホスト名を選択すると、そのデバイスへのト

ンネルに設定されている IPSec ポリシーを参照できます。ピア IP アドレスの下

のボックスにポリシーが表示されます。

IPSec ポリシーのテキストファイルを作成するには

［保存］をクリックして、テキストファイルの名前と場所を指定します。ルータ

に作成したポリシーのミラーポリシーをピアデバイス側でも作成できるよう

に、このテキストファイルをピアデバイスの管理者に渡します。テキストファ

イルを使用してミラーポリシーを作成する方法については、「VPN の設定後にピ

アルータ上で VPN を設定する方法」を参照してください。

注意生成したテキストファイルはリモートシステムのコンフィギュレーション

ファイルにコピーしないでください。このテキストファイルは、リモートデバ

イスを互換性のある方法で設定する目的でローカルルータの設定内容を参照す

る場合にのみ使用します。IPSec ポリシー、IKE ポリシー、およびトランスフォー

ムセットには、リモートルータで同じ名前を使用できますが、ポリシーとトラ

ンスフォームセットは異なる名前にすることもできます。テキストファイルを

単純にリモートコンフィギュレーションファイルにコピーした場合、設定エ

ラーが発生する可能性が高くなります。


OL-18185-01-J


Cisco CP 警告：ACL を使用する NAT ルール

このウィンドウは、アクセスルールを使用する NAT ルールに関連付けられてい

るインターフェイスを使用して VPN を設定するときに表示されます。このタイ

プの NAT ルールは、パケットが LAN を出入りする前にパケット内の IP アドレ

スを変更する可能性があります。このため、NAT ルールが送信元 IP アドレスを

変更したことによって VPN 接続用に設定された IPSec ルールと一致しなくなっ

た場合、VPN 接続は適切に機能しません。これを防ぐために、Cisco CP はこれ

らのルールを、ルートマップを使用する NAT ルールに変換できます。ルート

マップで、変換してはならないサブネットを指定します。

ウィンドウには、VPN 接続が適切に機能するために変更する必要がある NAT

ルールが表示されます。

元のアドレス

NAT が変換する IP アドレスです。

変換後のアドレス

NAT が元のアドレスと置き換える IP アドレスです。

ルールタイプ

NAT ルールのタイプです。値は［スタティック］または［ダイナミック］のど

ちらかになります。

リストされている NAT ルールでルートマップを使用するには

［OK］をクリックします。

第 12 章サイト間 VPNその他の手順


OL-18185-01-J

その他の手順ここでは、ウィザードで設定できないタスクの手順を示します。

複数のサイトに対して VPN を作成する方法

Cisco CP を使用して、ルータの 1 つのインターフェイスに複数の VPN トンネル

を作成できます。各 VPN トンネルは、ルータで選択した、宛先ルータ上の異な

るサブネットへのインターフェイスに接続されます。接続する宛先ルータのイン

ターフェイスが同じで、サブネットが異なる VPN トンネルを複数設定すること

ができます。また、宛先ルータ上の別のインターフェイスに接続する VPN トン

ネルを複数設定することもできます。

まず、初の VPN トンネルを作成する必要があります。次の手順では初の

VPN トンネルを作成する方法を説明します。すでに 1 つめの VPN トンネルを作

成済みで、同じインターフェイスにトンネルを追加する必要がある場合は、初

の手順を省略して、このヘルプトピックの次の手順に従います。

最初の VPN トンネルを作成する

ステップ 1 機能バーで、［設定］>［セキュリティ］>［VPN］>［サイト間 VPN］の順に選

択します。

ステップ 2 ［サイト間 VPN を作成する］を選択します。

ステップ 3 ［選択したタスクを実行する］をクリックします。

VPN ウィザードが起動します。

ステップ 4 ［クイックセットアップ］をクリックします。

ステップ 5 ［次へ >］をクリックします。


OL-18185-01-J


ステップ 6 ［この VPN 接続に対するインターフェイスの選択］フィールドで、VPN トンネ

ルを作成する送信元ルータのインターフェイスを選択します。これは、ユース

ケースシナリオ図のローカルシステム上のインターネットに接続されているイ

ンターフェイスです。

ステップ 7 ［ピア ID］フィールドに、宛先ルータインターフェイスの IP アドレスを入力し

ます。

ステップ 8 認証のフィールドに、2 つの VPN ピアが使用する事前共有キーを入力し、その

後、キーを再入力します。

ステップ 9 ［送信元］フィールドで、IP トラフィックを保護するサブネットに接続するイン

ターフェイスを選択します。これは、ユースケースシナリオ図のローカルルー

タで、通常は LAN に接続されているインターフェイスです。

ステップ 10［宛先］フィールドに、宛先ルータの IP アドレスとサブネットマスクを入力し

ます。

ステップ 11［次へ >］をクリックします。

ステップ 12［完了］をクリックします。

同じ送信元インターフェイスからさらにトンネルを作成する

初の VPN トンネルを作成したら、次の手順に従って、同じ送信元インターフェ

イスから異なる宛先インターフェイスまたは宛先サブネットへのトンネルをさ

らに作成します。


択します。

ステップ 2 ［サイト間 VPN を作成する］を選択します。



OL-18185-01-J

ステップ 3 ［選択したタスクを実行する］をクリックします。

VPN ウィザードが起動します。

ステップ 4 ［クイックセットアップ］をクリックします。

ステップ 5 ［次へ >］をクリックします。

ステップ 6 ［この VPN 接続に対するインターフェイスの選択］フィールドで、初の VPN

接続の作成に使用したものと同じインターフェイスを選択します。

ステップ 7 ［ピア ID］フィールドに、宛先ルータインターフェイスの IP アドレスを入力し

ます。初の VPN 接続の作成で入力したときと同じ IP アドレスを入力できま

す。これにより、2 つめの VPN 接続でも、宛先ルータの初の VPN 接続と同じ

インターフェイスを使用することになります。両方の VPN 接続で同じ宛先イン

ターフェイスを使用しない場合は、宛先ルータ上の別のインターフェイスの IP

アドレスを入力します。

ステップ 8 認証のフィールドに、2 つの VPN ピアが使用する事前共有キーを入力し、その

後、キーを再入力します。

ステップ 9 ［送信元］フィールドで、初の VPN 接続の作成に使用したものと同じインター

フェイスを選択します。

ステップ 10 宛先のフィールドには、次のオプションがあります。

• ［ピア ID］フィールドで、宛先ルータ上の異なるインターフェイスの IP アド

レスを入力し、特定のサブネットからの IP トラフィックを保護する場合は、

サブネットの IP アドレスとサブネットマスクを適切なフィールドに入力し

ます。

• ［ピア ID］フィールドに、初の VPN 接続で使用したものと同じ IP アドレ

スを入力し、この VPN トンネルが初の VPN トンネルと同じルータイン

ターフェイスを使用することを指定した場合は、保護する新しいサブネット

の IP アドレスとサブネットマスクを適切なフィールドに入力します。

ステップ 11［次へ >］をクリックします。


OL-18185-01-J


ステップ 12［完了］をクリックします。

VPN の設定後にピアルータ上で VPN を設定する方法

Cisco CP は、ルータに VPN 設定を生成します。Cisco CP には、設定のテキスト

ファイルを生成する機能があります。これは、VPN トンネルの接続先となるピ

アルータの VPN 設定を作成するためのテンプレートとして使用できます。この

テキストファイルは、設定が必要なコマンドを示すテンプレートとしてのみ使

用できます。このファイルの情報は、設定したローカルルータだけに有効であ

るため、使用するには編集する必要があります。

ピア VPN ルータのテンプレート設定を生成するには


択します。

ステップ 2 ［サイト間 VPN の編集］をクリックします。

ステップ 3 テンプレートとして使用する VPN 接続を選択し、［ミラーの生成］をクリックし

ます。

Cisco CP で［ミラーの生成］画面が表示されます。

ステップ 4 ［ピアデバイス］フィールドで、推奨される設定を生成するピアデバイスの IP

アドレスを選択します。

ピアデバイスに対して推奨される設定が［ミラーの生成］画面に表示されます。

ステップ 5 ［保存］をクリックして、Windows の［ファイルの保存］ダイアログボックスを

表示し、ファイルを保存します。



OL-18185-01-J

注意編集していないミラー設定をピアデバイスに適用しないでください。

この設定は、手動の追加設定を必要とするテンプレートです。このテ

ンプレートは、新しく VPN ピアの設定を作り直すときにのみ使用しま

す。

ステップ 6 ファイルを保存した後、テキストエディタを使用してテンプレート設定に必要

な変更を行います。編集が必要となる可能性があるコマンドを次に示します。

• ピア IP アドレスのコマンド

• トランスフォームポリシーのコマンド

• 暗号マップ IP アドレスのコマンド

• ACL のコマンド

• インターフェイス IP アドレスのコマンド

ステップ 7 ピアコンフィギュレーションファイルの編集が終わったら、TFTP サーバを使用

して、ピアルータに配信します。

既存の VPN トンネルを編集する方法

既存の VPN トンネルを編集するには


択します。

ステップ 2 ［サイト間 VPN の編集］をクリックします。

ステップ 3 編集する接続をクリックします。

ステップ 4 ［追加］をクリックします。


OL-18185-01-J


ステップ 5 ［< ポリシー名 > へのスタティック暗号マップ］を選択します。

ステップ 6 ［スタティック暗号マップの追加］ウィンドウで、VPN 接続に暗号マップを追加

できます。

ステップ 7 IPSec ポリシーや既存の暗号マップなど、接続のコンポーネントを変更する必要

がある場合は、VPN ウィンドウ内のそのコンポーネントの名前を記録し、［VPN

コンポーネント］の下の適切なウィンドウに移動して変更します。

VPN の動作を確認する方法

VPN 接続の動作は、Cisco CP の監視モードを使用して確認できます。VPN 接続

が機能している場合は、送信元と宛先のピア IP アドレスを特定することによっ

て、監視モードで VPN 接続が表示されます。VPN 接続が IPSec トンネルか、イ

ンターネットキー交換（IKE）セキュリティアソシエーション（SA）かによっ

て、監視モードでは、その接続で転送されたパケット数、または接続の現在の状

態のいずれかが表示されます。VPN 接続の現在の状態を表示するには

ステップ 1 機能バーで、［監視］>［セキュリティ］の順に選択します。

ステップ 2 ［VPN ステータス］を選択します。

ステップ 3 ［IPSec トンネル］または［IKE SA］を選択します。

設定されている個々の VPN 接続が画面に行として表示されます。

IPSec トンネル情報を表示している場合は、次の情報で、その VPN 接続が機能し

ていることを確認できます。

• ローカルピアおよびリモートピアの IP アドレスが正しい。これは、適切な

サイトおよびルータインターフェイス間に VPN 接続が存在することを示し

ます。



OL-18185-01-J

• トンネルのステータスが「稼働」になっている。もし、トンネルのステータ

スが「停止」または「設定上停止」になっている場合は、VPN 接続はアク

ティブではありません。

• カプセル化されたパケットおよび非カプセル化パケットの数がゼロではな

い。これは、データが接続を介して転送されたこと、および送受信されたエ

ラーが多くないことを示します。

IKE SA 情報を表示している場合は、送信元と宛先の IP アドレスが正しいこと、

および接続が認証され、データ転送が可能であることを示す「QM_IDLE」状態

になっていることを確認することにより、VPN 接続が機能していることを確認

できます。

VPN に対してバックアップピアを設定する方法

1 つの暗号マップに複数の VPN ピアを設定するには

ステップ 1 機能バーで、［設定］>［セキュリティ］>［VPN コンポーネント］>［IPSec］の

順に選択します。

ステップ 2 ［IPSec ポリシー（暗号マップセット）］を選択します。

ステップ 3 ［IPSec ポリシー］テーブルで、別の VPN ピアを追加する IPSec ポリシーをクリッ

クします。

ステップ 4 ［編集］をクリックします。

［IPSec ポリシーの編集］ダイアログボックスが表示されます。


ステップ 6 ［暗号マップの追加］ダイアログボックスが表示され、新しい暗号マップの値を

設定できます。ダイアログボックスの 4 つのタブすべてを使用して、新しい暗

号マップの値を設定します。［ピア情報］タブの［ピアの指定］フィールドには、

追加するピアの IP アドレスを入力できます。


OL-18185-01-J


ステップ 7 値の入力を終えたら、［OK］をクリックします。

新しいピア IP アドレスを設定した暗号マップが［この IPSec ポリシー内の暗号

マップ］テーブルに表示されます。

ステップ 8 さらにピアを追加する場合は、手順 3 ～ 7 を繰り返します。

VPN サポートレベルが異なる複数のデバイスを調整する方法

1 つの暗号マップに複数のトランスフォームセットを追加するには

ステップ 1 機能バーで、［設定］>［セキュリティ］>［VPN コンポーネント］>［IPSec］の

順に選択します。

ステップ 2 ［IPSec ポリシー（暗号マップセット）］を選択します。

ステップ 3 ［IPSec ポリシー］テーブルで、別のトランスフォームセットを追加する暗号マッ

プを含む IPSec ポリシーをクリックします。


［IPSec ポリシーの編集］ダイアログボックスが表示されます。

ステップ 5 ［この IPSec ポリシー内の暗号マップ］テーブルで、別のトランスフォームセッ

トを追加する暗号マップをクリックします。


［暗号マップの編集］ダイアログボックスが表示されます。

ステップ 7 ［トランスフォームセット］タブをクリックします。



OL-18185-01-J

ステップ 8 ［使用可能なトランスフォームセット］フィールドで、暗号マップに追加するト

ランスフォームセットをクリックします。

ステップ 9 ［>>］をクリックし、選択したトランスフォームセットを暗号マップに追加しま

す。

ステップ 10 この暗号マップにさらにトランスフォームセットを追加する場合は、すべての

トランスフォームセットを追加し終えるまで手順 8 および 9 を繰り返します。

ステップ 11［OK］をクリックします。

サポートされていないインターフェイスで VPN を設定する方法

Cisco CP では、サポートされていないタイプのインターフェイスに VPN を設定

できます。VPN 接続を設定する前に、ルータ CLI を使用して、インターフェイ

スを設定する必要があります。インターフェイスには、少なくとも IP アドレス

を設定する必要があり、また、機能していなければなりません。接続が機能して

いることを確認するには、インターフェイスのステータスが［稼働］になってい

ることを確認します。

CLI を使用してサポートされていないインターフェイスを設定した後で、Cisco

CP を使用して VPN 接続を設定できます。サポートされていないインターフェイ

スは、VPN 接続用のインターフェイスを選択するフィールドに表示されます。

ファイアウォールの設定後に VPN を設定する方法

ファイアウォールが設定された環境で VPN を機能させるには、ローカルおよび

リモートピアの IP アドレス間のトラフィックを許可するようにファイアウォー

ルを設定する必要があります。この設定は、ファイアウォールを設定した後で

VPN を設定するときに、Cisco CP においてデフォルトで作成されます。


OL-18185-01-J


VPN に対して NAT パススルーを設定する方法

NAT を使用して自分のネットワーク外のネットワークからのアドレスを変換す

る場合で、VPN を介して自分のネットワーク外の特定のサイトにも接続してい

る場合は、VPN トラフィックでネットワークアドレスの変換が行われないよう

に、VPN 接続に対して NAT パススルーを設定する必要があります。すでに NAT

を設定したルータに、Cisco CP を使用して新しい VPN 接続を設定する場合は、

NAT が VPN トラフィックを変換しないように設定されることを通知する警告

メッセージが表示されます。このメッセージを受け入れると、Cisco CP で必要な

ACL が作成されて VPN トラフィックが変換されないように保護されます。

すでに VPN 接続を設定している場合に、Cisco CP を使用して NAT を設定すると

きは、次の手順を実行して ACL を作成します。

ステップ 1 機能バーで、［設定］>［セキュリティ］>［ACL エディタ］の順に選択します。

ステップ 2 ルールツリーで、［アクセスルール］を選択します。


［ルールの追加］ダイアログボックスが表示されます。

ステップ 4 ［名前 /番号］フィールドに、新しいルールの一意の名前または番号を入力します。

ステップ 5 ［タイプ］フィールドから［拡張ルール］を選択します。

ステップ 6 ［説明］フィールドに、新しいルールについての簡単な説明を入力します。


［拡張ルールエントリの追加］ダイアログボックスが表示されます。

ステップ 8 ［アクション］フィールドで、［許可］を選択します。

ステップ 9 ［送信元ホスト / ネットワーク］グループの［タイプ］フィールドで、［ネット

ワーク］を選択します。



OL-18185-01-J

ステップ 10［IP アドレス］および［ワイルドカードマスク］フィールドに、VPN の送信元

ピアの IP アドレスとサブネットマスクを入力します。

ステップ 11［宛先ホスト / ネットワーク］グループの［タイプ］フィールドで、［ネットワー

ク］を選択します。

ステップ 12［IP アドレス］および［ワイルドカードマスク］フィールドに、VPN の宛先ピ

アの IP アドレスとサブネットマスクを入力します。

ステップ 13［説明］フィールドに、ネットワークまたはホストについての簡単な説明を入力

します。

ステップ 14［OK］をクリックします。

新しいルールが［アクセスルール］テーブルに表示されます。

vpn - cisco...vpn...

Documents